Hoe handelen organisaties alsnog AVG compliant/AVG-proof?
Werkwijze grote en middelgrote organisaties/bedrijven
- Zorg voor het bewustzijn bij werknemers en de benodigde protocollen zodat de maatregelen die worden getroffen ook goed zullen worden nageleefd door werknemers van de organisatie. Het doel daarvan is dat de kans op beveiligingsincidenten en datalekken drastisch verkleind wordt.
- Met name de grote en middelgrote organisaties/bedrijven (verantwoordelijken en verwerkers) doen er goed aan om, voor zover zij dat nog steeds niet gedaan hebben, alsnog zo spoedig mogelijk in contact te treden met advocatenkantoren en/of gerenommeerde bedrijven die gespecialiseerd zijn in de naleving van de AVG. Hierdoor kan alsnog uitvoering worden gegeven aan de AVG, schade -en kostenbeperkend worden gehandeld en hoge boetes worden voorkomen.Maak gebruik van effectieve methoden om het bewustzijnsniveau in kaart te brengen via werkgroepen, enquêtes, het periodiek uitvoeren van risico-analyses waaruit risicoprofielen kunnen worden gedestilleerd.
- Laat beoordelen of het aanstellen van een Data Privacy Officer gewenst of zelfs verplicht is.
- Implementeer ‘Bindende bedrijfsvoorschriften’.
- Controleer de bestaande bewerkingsovereenkomsten indien de verwerking van persoonsgegevens is uitbesteed aan een of meerdere (sub-) verwerkers, laat desnoods heronderhandelen over de bestaande bewerkingsovereenkomst(en) of breng nieuwe bewerkingsovereenkomst(en) tot stand en controleer of de bewerkingsovereenkomst(en) in overeenstemming zijn met de AVG.
- Voer, indien van toepassing, voorafgaande aan de verwerking van persoonsgegevens een data-effectbeoordeling /“privacy impact assessment” (DPIA) uit (zie hiervoor). Mocht uit de beoordeling een hoog risico voortvloeien die niet kan worden ondervangen met de maatregelen die de organisatie reeds uitvoert of beoogt uit te voeren, overleg dan met de Autoriteit Persoonsgegevens alvorens te starten met de hoog-risico verwerking van gegevens.
- Inventariseer in samenwerking met de betreffende advocaten/juristen en juridische AVG-specialisten welke gegevens worden verwerkt. Maak daarbij onderscheid tussen noodzakelijke en niet-noodzakelijke gegevens. Ga daarbij systematisch en zorgvuldig te werk. Organiseer een register voor de verwerkingsactiviteiten met betrekking tot persoonsgegevens. Zorg ervoor dat voor de verwerking toestemming is verkregen en dat deze goed geregistreerd wordt.
- Neem passende organisatorische en technische maatregelen. Organiseer waar mogelijk (en nodig) privacy by design and by default’ (zie hiervoor) en focus daarbij -met name- op de rechten van burgers, prospects, clienten en werknemers. Gebruik de juiste privacy statements en zorg ervoor dat betrokkenen hun rechten kunnen uitoefenen. Inventariseer voorts welke informatie-stromen er zijn en welke bedrijven (verwerkers, sub-verwerkers) betrokken (moeten) worden. Registreer of data binnen of buiten de EER wordt verwerkt. Denk aan de meldplicht datalekken.
- Streef naar goede dossiervorming zodat op juiste wijze verantwoording kan worden afgelegd en aangetoond kan worden dat op juiste wijze alles in het werk is gesteld om aan de AVG te voldoen. Bedenk hierbij dat de AVG de bewijslast omgekeerd heeft. De bewerker en de verantwoordelijke moeten zelf aantonen dat zij de AVG op juiste wijze na hebben geleefd. Het is dus niet zo dat de Autoriteit Persoonsgegevens moet kunnen aantonen dat de AVG door de organisatie niet is nageleefd.
- Indien de betreffende organisatie meerdere vestigingen heeft in EU-lidstaten, moet worden onderzocht welke toezichthouder leidend is. Dat moet ook worden onderzocht indien de gegevensverwerking impact heeft in verschillende lidstaten.
- Controleer of voldaan wordt aan het 10-stappenplan van de Autoriteit Persoonsgegevens.
Download het stappenplan, de AVG en de Handleiding via de volgende link:
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/voorbereiding-avg
Een handige tool is ook de AVG-regelhulp dat is ontwikkeld in samenwerking met de Rijksdienst voor Ondernemend Nederland (RVO). Raadpleeg hiervoor de volgende link:
https://rvo.regelhulpenvoorbedrijven.nl/avg/#/welkom
Werkwijze kleine organisaties en ZZP-ers
Zoals hiervoor uiteengezet: welke acties precies benodigd zijn, hangt af van de grootte van de organisatie c.q. het bedrijf, de aard en hoeveelheid van gegevens en de reeds getroffen privacy -en beveiligingsmaatregelen. Van kleine bedrijven en ZZP-ers kan in beginsel niet worden verwacht dat forse investeringen worden gedaan om te voldoen aan de AVG.
Toch moeten ook kleine bedrijven en ZZP-ers de stappen nagaan die hiervoor bij de werkwijze van grote en middelgrote bedrijven aan de orde kwamen, zij het dat de focus logischerwijs meer zal komen te liggen bij de inventarisatie van de (noodzakelijkheid van) verwerking van persoonsgegevens, het verkrijgen van toestemming voor het verwerken van persoonsgegevens, het beperken van risico’s voor personen, de opslag en de tracking (het monitoren) van persoonsgegevens via o.a. de website van de organisatie en het gebruik van contactformulieren op de website, cookies, de opslag bij cloud-bedrijven, de mailingfaciliteiten (denk bijvoorbeeld aan ‘mailchimp’), antivirus en eventuele aanvullende beveiligingstoepassingen, boekhoudmodules, emailclients, (sub)-bewerkersovereenkomsten etc. Er dient derhalve sprake te zijn van een goede inventarisatie, een goed register met persoonsgegevens en een goede uitvoering van het plan van aanpak.
Uiteraard kunnen kleine organisaties/bedrijven of ZZP-ers hun eigen (concept-) plan op haalbaarheid en op juridische merites laten toetsen door een gespecialiseerde advocaat/jurist. Dat scheelt ook weer in de kosten.
Waarom deze post?
Orange Legal maakt zich al vele jaren sterk voor (gratis) kennisdeling en kwalitatief goede rechtsbijstand op het gebied van arbeidsrecht (het specialisme van Orange Legal). Daarnaast zet Orange Legal zich in voor de belangen van de consument en voor onze rechtsstaat.
Orange Legal verkiest wat betreft de informatievoorziening verschillende media, zoals TV en sociale media. Op de website www.orangelegal.nl zijn tal van publicaties te vinden.
De introductie van de privacy-verordening AVG roept vele vragen op bij bedrijven, overheden en consumenten over rechten, verplichtingen, wijze van uitvoeren en over mogelijkheden om in bezwaar/beroep te gaan.
Orange Legal biedt organisaties professionele AVG-oplossingen. Orange Legal beschikt over een uitgebreid advocaten-netwerk en werkt samen met diverse gerenommeerde advocatenkantoren en kantoren met AVG-specialisten.
Naast de informatievoorziening beoogt dit artikel een opstap te zijn voor organisaties om een uitstekende AVG-oplossing te bereiken. Interesse in professionele AVG-oplossingen en/of professionele rechtsbijstand in geval van AVG-sancties? Neem gerust contact op met mr. Floris Zwartkruis via info@orangelegal.nl
Dit artikel is geschreven door mr. Floris Zwartkruis. Zie ook www.orangelegal.nl